云計算安全關鍵技術淺析

曾文玄

（福建醫科大學 信息中心，福建 福州 350108）

九十年代初期，互聯網作為一個嶄新的數據信息傳輸媒介，逐漸受到了人們的重視.網絡中存儲了海量的數據資源，這些數據資源的應用前景良好，信息領域開始研究如何能夠將這些數據資源進行科學合理的利用.云計算技術的深入推廣和應用使得用戶能夠使用網絡中的海量數據資源.云計算越來越成為信息領域重點研究的課題，已經成為了下一代計算機網絡的核心架構.基于云計算背景，用戶可以以低廉的資金成本使用強大的數據存儲服務，無需再耗費大量的軟硬件成本，完全交由云計算服務商負責完成.

1 云計算

1.1 云計算定義

目前，人們可以利用互聯網獲得海量數據信息，通過網絡存儲的信息資源實現資源共享、相互配合的低成本、高效率工作.隨著網絡應用的日益普及，信息學術領域提出了多種技術來解決網絡大規模協同工作的問題，例如效能計算、網格計算、按需計算等.云計算這種新型計算模式的提出正是基于以上多種計算模式的優化與改進.

云計算平臺是一個按照實際需求隨時進行動態部署和動態配置的平臺，其提供的服務也是動態性的，云計算平臺可以是物理存在的服務器設備，也可以是其他形式的服務提供平臺.云計算平臺包括了海量計算資源的存儲、網絡資源的存儲，以及網絡安全管理設備等.而且，云計算平臺要始終保證具有良好的可擴展性，用戶可以利用互聯網購買獲得更多的云計算應用服務.

云計算具有規模龐大、可靠性強、動態性高、擴展性強等特性，能夠有效克服網絡計算、效能計算等在處理海量數據方面存在的性能缺陷問題，同時具有信息資源共享、統一配置管理、維護費用低廉等優點.因此，云計算也逐漸成為了現代信息領域深入研究的熱點課題.

1.2 云計算模型架構

云計算模型按照實際應用劃分為部署模型和服務模型兩種，云計算部署模型將其又劃分為公共云、混合云和私有云三種類型，如圖1所示：

圖1 云計算部署模型示意圖

由云計算服務商提供的相關基礎設施組成公共云，主要是為小型機構提供云計算應用服務.私有云指的是中型機構和大型機構內部的云計算基礎設備，主要是為某一個機構提供云計算應用服務，這種云服務應用于商業銀行、移動電信等數據龐大的行業中，能夠有效保障數據信息安全.混合云是由兩個或兩個以上的云共同組成，以獨立方式存在，主要是為云與云之間的聯系提供接口服務，方便數據信息的移植和擴展.

云計算服務模型主要包括三類，一是軟件即服務；二是平臺即服務，三是基礎設施即服務.如圖2所示.軟件即服務主要是將云計算服務商的相關基礎設施提供給用戶，例如谷歌公司的Apps等.平臺即服務主要是將云計算創建和定制應用的服務提供給用戶，例如微軟公司的Microsoft Azure等.基礎設施即服務主要是將云計算的計算資源提供給用戶使用，用戶可以根據自己的實際需求運行部署相關應用軟件和操作系統.

圖2 云計算服務模型示意圖

2 云計算的安全防護策略

云計算的安全防火策略如圖3所示：

圖3 云計算的安全防護策略

2.1 多安全域防護

云計算與傳統計算模式不同，它沒有實現良好的安全域劃分.因此，對于云計算的應用程序和數據信息進行多層次結構的安全域劃分.在云計算安全域中，還要分別實現局部安全策略和全局安全策略，對于不同的安全域之間進行有效隔離.

2.2 可靠的接入認證

由于大量用戶使用云計算提供的應用服務，更需要加強對用戶身份的驗證過程，同時注重維護用戶訪問的列表記錄.用戶身份認證通常采用的方式包括口令認證、證物認證和生物識別認證等.目前，口令認證方式應用得最為普遍，雖然口令認證的方式比較快捷方便，但是安全性能卻遠遠不如生物識別認證和證物認證.但是，生物識別認證的應用需要耗費大量資金成本，由此，證物認證可以成為未來云計算安全認證的發展方向.

2.3 安全的數據維護

用戶將海量數據信息存儲在云計算服務器中，作為云計算服務商需要對這些數據信息進行有效保護，保證數據信息安全可靠，同時需要提供數據信息校驗服務.而且，云計算服務商還要得到監管和審計部門的認可.

2.4 高效可靠的服務

云計算應用程序服務提供商必須具有不間斷提供服務的能力，減少由于服務商自身原因出現的服務延遲、服務中斷等情況，保證用戶在需要數據信息時能夠立刻獲取，不會受到時間和地域的限制.

2.5 可信的審計監管

云計算安全保障的提供不能僅限于云計算服務商和個人用戶，需要信息安全領域學術機構盡快構建一套高效可靠的第三方監管方案，同時政府部門也需要加快完善相關法律法規，才能真正提高云計算服務的安全性.

3 云計算數據存儲的安全體系架構

基于云計算技術的數據信息存儲服務不僅是規模龐大的存儲硬盤，而是由網絡設備、硬件設備和應用軟件等共同構成的.

云計算的數據信息存儲服務與傳統數據存儲服務比較而言，能夠提供更多類型的在線數據應用服務，支持大規模數據統一管理和維護.但是，由于云計算用戶規模龐大，服務對象類型和網絡環境相對復雜，使得云計算數據存儲服務存在較多的安全風險.目前，流行的云計算服務提供商應用的云計算數據存儲安全體系架構僅包括三個部分，分別是用戶、網絡通信和云計算數據中心，數據信息的安全保障工作和監管審計工作都由企業獨立完成.由于云計算外部監管存在一定缺陷的服務現狀，使得用戶在得到應用服務時必須完全同意企業設置的各項條款，數據信息的安全性得不到良好保證，個人隱私的安全也只能依賴于企業自身的道德信譽.由此可見，云計算需要引起第三方審計機制，制定科學合理的審計協議，依靠第三方的約束力來有效規范和完善云計算數據服務.

圖4 云計算數據存儲安全體系架構示意圖

本文提出的云計算數據存儲方案是利用第三方審計機構，將對用戶數據信息的審計和監管，以及相關數據信息的訪問工作全部交由第三方審計機構負責完成，如圖4所示.通過制定科學合理的協議來規范全部云計算數據服務提供者和參與者的行為，使得用戶存儲到云計算服務器中的數據信息能夠得到良好的審計和監管，充分保障用戶的合法權益，本文提出的云計算數據存儲安全體系架構具體功能見圖4.

3.1 用戶

一般情況下，云計算服務商都要求客戶使用特定的客戶端和瀏覽器對數據信息進行訪問.用戶通過手機、PAD等移動終端設備，利用互聯網或專門客戶端使用云計算服務商提供的數據信息存儲服務.用戶只需要注重客戶端軟件和應用瀏覽器的安全性，其他方面則有云計算服務商提供安全保障.

3.2 云計算數據中心

云計算數據中心由大量硬件存儲設備、網絡設備和相關服務器共同組成.硬件存儲設備負責提供海量的數據信息存儲空間，服務器主要負責海量數據信息的維護和管理工作.由于云計算數據中心存儲著大量用戶的個人數據信息，因此更需要加強其安全防護.通常情況下，云計算數據中心都會利用分布式文件系統，對日常用戶行為進行維護和管理，例如谷歌公司的GFS(Google File System)，以及淘寶網的HDFS等.云計算數據中心的核心部分是分布式文件系統，它能夠使眾多的存儲設備實現協同工作，并將其虛擬化，從而有效幫助用戶快速準確地尋找到其需要訪問的數據信息.同時，分布式文件系統還要負責數據信息定時備份、檢測數據信息的完整性、恢復數據信息、加密數據信息等工作，為上層的控制和管理服務器提供應用接口.控制和管理服務器收到用戶的請求后及時做出相應，保證用戶訪問數據信息的安全性.而且，控制和管理服務器還負責與第三方審計機構進行溝通，對第三方審計機構發出的審計數據可靠性和安全性的請求做出響應.

3.3 第三方審計機構

第三方審計機構應該由政府部門按照國家相關法律法規，對云計算數據中心的用戶行為和海量數據進行有效監管和定時審計.用戶可以完全信任政府部門的第三方審計機構，但同時也需要其具有較強的審計和監管能力，能夠充分保障用戶在云端存儲數據信息的安全性，以及數據信息的完整性、可靠性和一致性.而且，第三方審計機構要能夠時刻記錄云計算服務商的行為操作，防止服務商的抵賴行為發生，并根據得出的結論承擔全部責任.

3.4 網絡通信

網絡環境的情況能夠對云計算數據存儲服務的質量帶來一定影響.因此，電信運營商應該提供性能可靠的網絡服務，保證用戶數據信息在通信過程中不會發生數據丟包和惡意竊聽等現象.同時，電信運營商要提供快速穩定的網絡服務，保證用戶獲取數據信息的及時性.網絡通信的安全性對于云計算服務商提供數據存儲的安全性有著深入影響.結論

綜上所述，在云計算應用服務環境中，海量的數據信息和龐大的應用軟件都存儲于集群式服務器中.對于數據信息的統一維護管理帶來了多方面的安全威脅.本文基于云計算服務的數據信息面臨多重安全問題為背景，針對云計算特有的動態性、虛擬性、可擴展性等特點，提出了云計算數據存儲的安全體系架構，同時對云計算安全關鍵技術進行了深入研究.

〔1〕夏君.云計算安全問題研究[J].河南科技,2013,(05):1+5.

〔2〕冉旭,鐘鳴,程放,許勇,劉佳.云計算安全防護體系研究[J].信息通信,2013,(01):81-82.

〔3〕劉彥.云計算安全風險與對策分析[J].硅谷,2013,(02):132+70.

〔4〕大數據時代的云計算安全征文通知[J].信息網絡安全,2013,(03):28.

〔5〕惠志斌.新安全觀下中國網絡信息安全戰略的理論構建[J].國際觀察,2012,(02):17-22.

〔6〕史嘉林.計算機網絡信息安全分析與管理[J].電腦開發與應用,2012,(03):36-38+42.

〔7〕李紅嬌,魏為民,田秀霞,孫超超.可信計算技術在云計算安全中的應用 [J].上海電力學院學報,2013,(01):83-86.

〔8〕柴文光,周寧.網絡信息安全防范與Web數據挖掘技術的整合研究 [J].情報理論與實踐,2009,(03):97-101.